您当前的位置:首页 > 电脑百科 > 程序开发 > 编程百科

详解API接口如何安全的传输数据

时间:2023-08-28 13:45:52  来源:  作者:Springboot实战案例锦集
在Spring中我们通过继承RequestBodyAdviceAdapter实现对于请求的内容进行解密操作,实现ResponseBodyAdvice来对相应内容进行加密处理。接下来将详细讲解数据加解密的实现过程。

环境:Springboot2.5.12 + Vue2 + AxIOS

概述

API接口的安全传输是确保数据在API请求和响应之间的传输过程中不被截获、篡改或泄露的重要步骤。以下是一些用于增强API接口安全传输的常见技术和最佳实践:

  1. 使用HTTPS:使用HTTPS协议而不是HTTP,以确保数据在传输过程中的安全性。HTTPS使用SSL/TLS协议对通信进行加密,防止中间人攻击和数据窃听。
  2. 验证HTTPS请求:验证HTTPS请求的来源,确保请求来自授权的客户端。这可以通过检查SSL证书的颁发机构和有效期来实现。
  3. 验证API密钥:验证API请求中包含的API密钥的合法性。这可以通过检查密钥的唯一标识符、有效性和权限来实现。
  4. 使用JSON Web Tokens (JWT):JWT是一种开放标准,用于在双方之间安全地传输信息。JWT包含一组声明,由JSON对象表示,并使用数字签名进行验证。它可以用于API身份验证和授权。
  5. 限制API访问频率:限制API请求的频率和并发数,以防止滥用和拒绝服务攻击。这可以通过设置速率限制和并发限制来实现。
  6. 使用消息身份验证码(mac):消息身份验证码是一种用于验证消息完整性和认证性的机制。它可以用于防止篡改和重放攻击。
  7. 加密敏感数据:对传输的敏感数据进行加密,例如用户密码和个人信息。这可以通过使用对称加密或公钥加密来实现。
  8. 使用合适的HTTP标头:使用适当的HTTP标头来防止跨站脚本攻击(XSS)和其他安全漏洞。例如,设置"X-XSS-Protection: 1; mode=block"标头来启用浏览器的内置XSS保护机制。
  9. 实施访问控制:根据用户的身份和权限,对API请求进行访问控制。这可以通过使用基于角色的访问控制(RBAC)或基于声明的访问控制(ABAC)来实现。
  10. 定期更新和修补:确保API和相关系统得到及时更新和修补,以修复任何已知的安全漏洞。

在Spring中我们通过继承RequestBodyAdviceAdapter实现对于请求的内容进行解密操作,实现ResponseBodyAdvice来对相应内容进行加密处理。接下来将详细讲解数据加解密的实现过程。

定义加密解密的接口:

SecretProcess

public interface SecretProcess {
  
  /**
   *  <p>数据加密</p>
   *  <p>时间:2020年12月24日-下午12:22:13</p>
   * @author xg
   * @param data 待加密数据
   * @return String 加密结果
   */
  String encrypt(String data) ;
  
  /**
   *  <p>数据解密</p>
   *  <p>时间:2020年12月24日-下午12:23:20</p>
   * @author xg
   * @param data 待解密数据
   * @return String 解密后的数据
   */
  String decrypt(String data) ;
  
  /**
   *  <p>加密算法格式:算法[/模式/填充]</p>
   *  <p>时间:2020年12月24日-下午12:32:49</p>
   * @author xg
   * @return String
   */
  String getAlgorithm() ;
  
  public static class Hex {
    
    private static final char[] HEX = { '0', '1', '2', '3', '4', '5', '6', '7', '8', '9',
        'a', 'b', 'c', 'd', 'e', 'f' };
    
    public static byte[] decode(CharSequence s) {
      int nChars = s.length();
      if (nChars % 2 != 0) {
        throw new IllegalArgumentException("16进制数据错误");
      }
      byte[] result = new byte[nChars / 2];
      for (int i = 0; i < nChars; i += 2) {
        int msb = Character.digit(s.charAt(i), 16);
        int lsb = Character.digit(s.charAt(i + 1), 16);
        if (msb < 0 || lsb < 0) {
          throw new IllegalArgumentException(
            "Detected a Non-hex character at " + (i + 1) + " or " + (i + 2) + " position");
        }
        result[i / 2] = (byte) ((msb << 4) | lsb);
      }
      return result;
    }
    
    public static String encode(byte[] buf) {
      StringBuilder sb = new StringBuilder() ;
      for (int i = 0, leng = buf.length; i < leng; i++) {
        sb.Append(HEX[(buf[i] & 0xF0) >>> 4]).append(HEX[buf[i] & 0x0F]) ;
      }
      return sb.toString() ;
    }
    
  }
  
}

该接口中定义了两个方法分别是加密与解密的方法,还有Hex类 该类用来对数据处理16进制的转换。

定义一个抽象类实现上面的接口,具体的加解密实现细节在该抽象类中

AbstractSecretProcess

public abstract class AbstractSecretProcess implements SecretProcess {
  
  @Resource
  private SecretProperties props ;
  
  @Override
  public String decrypt(String data) {
    try {
      Cipher cipher = Cipher.getInstance(getAlgorithm()) ;
      cipher.init(Cipher.DECRYPT_MODE, keySpec()) ;
      byte[] decryptBytes = cipher.doFinal(Hex.decode(data)) ;
      return new String(decryptBytes) ;
    } catch (Exception e) {
      throw new RuntimeException(e) ;
    }
  }
  
  @Override
  public String encrypt(String data) {
    try {
      Cipher cipher = Cipher.getInstance(getAlgorithm()) ;
      cipher.init(Cipher.ENCRYPT_MODE, keySpec()) ;
      return Hex.encode(cipher.doFinal(data.getBytes(Charset.forName("UTF-8")))) ;
    } catch (Exception e) {
      throw new RuntimeException(e) ;
    }
  }
  
  /**
   *  <p>根据密钥生成不同的密钥材料</p>
   *  <p>目前支持:AES, DES</p>
   *  <p>时间:2020年12月25日-下午1:02:54</p>
   * @author xg
   * @param secretKey 密钥
   * @param algorithm 算法
   * @return Key
   */
  public Key getKeySpec(String algorithm) {
    if (algorithm == null || algorithm.trim().length() == 0) {
      return null ;
    }
    String secretKey = props.getKey() ;
    switch (algorithm.toUpperCase()) {
      case "AES":
        return new SecretKeySpec(secretKey.getBytes(), "AES") ;
      case "DES":
        Key key = null ;
        try {
          DESKeySpec desKeySpec = new DESKeySpec(secretKey.getBytes()) ;
          SecretKeyFactory secretKeyFactory = SecretKeyFactory.getInstance("DES") ;
          key = secretKeyFactory.generateSecret(desKeySpec);
        } catch (Exception e) {
          throw new RuntimeException(e) ;
        }
        return key ;
      default:
        return null ;
    }
  }
  
  /**
   *  <p>生成密钥材料</p>
   *  <p>时间:2020年12月25日-上午11:35:03</p>
   * @author xg
   * @return Key 密钥材料
   */
  public abstract Key keySpec() ;
  
}

该抽象类中提供了2中对称加密的密钥还原,分表是AES和DES算法。一个抽象方法,该抽象方法

keySpec该方法需要子类实现(具体使用的是哪种对称加密算法)。

具体加密算法的实现类

AESAlgorithm

public class AESAlgorithm extends AbstractSecretProcess {


  @Override
  public String getAlgorithm() {
    return "AES/ECB/PKCS5Padding";
  }
  
  @Override
  public Key keySpec() {
    return this.getKeySpec("AES") ;
  }


}

SecretProperties

@Configuration
public class SecretConfig {
  
  @Bean
  @ConditionalOnMissingBean(SecretProcess.class)
  public SecretProcess secretProcess() {
    return new AESAlgorithm() ;
  }
  
  @Component
  @ConfigurationProperties(prefix = "secret")
  public static class SecretProperties {
    
    private Boolean enabled ;
    private String key ;


    public Boolean getEnabled() {
      return enabled;
    }


    public void setEnabled(Boolean enabled) {
      this.enabled = enabled;
    }


    public String getKey() {
      return key;
    }


    public void setKey(String key) {
      this.key = key;
    }
    
  }
  
}

配置文件中如下配置:

secret:
  key: aaaabbbbccccdddd #密钥
  enabled: true #是否开启加解密功能

在项目中可能不是所有的方法都要进行数据的加密解密出来,所以接下来定义一个注解,只有添加有该注解的Controller类或是具体接口方法才进行数据的加密解密,如下:

SIProtection

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Mapping
@Documented
public @interface SIProtection {


}

对请求内容进行解密出来,通过RequestBodyAdvice

DecryptRequestBodyAdivce

@ControllerAdvice
@ConditionalOnProperty(name = "secret.enabled", havingValue = "true")
public class DecryptRequestBodyAdivce extends RequestBodyAdviceAdapter {


  @Resource
  private SecretProcess secretProcess ;
  
  @Override
  public boolean supports(MethodParameter methodParameter, Type targetType,
      Class<? extends HttpMessageConverter<?>> converterType) {
    return methodParameter.getMethod().isAnnotationPresent(SIProtection.class) 
        || methodParameter.getMethod().getDeclaringClass().isAnnotationPresent(SIProtection.class) ;
  }


  @Override
  public HttpInputMessage beforeBodyRead(HttpInputMessage inputMessage, MethodParameter parameter, Type targetType,
      Class<? extends HttpMessageConverter<?>> converterType) throws IOException {
    String body = secretProcess.decrypt(inToString(inputMessage.getBody())) ;
    return new HttpInputMessage() {
      @Override
      public HttpHeaders getHeaders() {
        return inputMessage.getHeaders();
      }
      @Override
      public InputStream getBody() throws IOException {
        return new ByteArrayInputStream(body.getBytes()) ;
      }
    } ;
  }
  
  private String inToString(InputStream is) {
    byte[] buf = new byte[10 * 1024] ;
    int leng = -1 ;
    StringBuilder sb = new StringBuilder() ;
    try {
      while ((leng = is.read(buf)) != -1) {
        sb.append(new String(buf, 0, leng)) ;
      }
      return sb.toString() ;
    } catch (IOException e) {
      throw new RuntimeException(e) ;
    }
  }


}

注意这里的:@ConditionalOnProperty(name = "secret.enabled", havingValue = "true")注解,只有开启了加解密功能才会生效。注意这里的supports方法

对响应内容加密出来

EncryptResponseBodyAdivce

@ControllerAdvice
@ConditionalOnProperty(name = "secret.enabled", havingValue = "true")
public class EncryptResponseBodyAdivce implements ResponseBodyAdvice<Object>  {


  @Resource
  private SecretProcess secretProcess ;


  @Override
  public boolean supports(MethodParameter returnType, Class<? extends HttpMessageConverter<?>> converterType) {
    return returnType.getMethod().isAnnotationPresent(SIProtection.class) 
        || returnType.getMethod().getDeclaringClass().isAnnotationPresent(SIProtection.class) ;
  }


  @Override
  public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType,
      Class<? extends HttpMessageConverter<?>> selectedConverterType, ServerHttpRequest request,
      ServerHttpResponse response) {
    if (body == null) {
      return body ;
    }
    try {
      String jsonStr = new ObjectMapper().writeValueAsString(body) ;
      return secretProcess.encrypt(jsonStr) ;
    } catch (Exception e) {
      throw new RuntimeException(e) ;
    }
  }
}

Controller接口

@PostMapping("/save")
@SIProtection
public R save(@RequestBody Users users) {
  return R.success(usersService.save(users)) ;
} // 这对具体方法进行加解密


@RestController
@RequestMapping("/users")
@SIProtection 
public class UsersController { // 对该Controller中的所有方法进行加解密处理
}

前端

引入第三方插件:crypto-js

工具方法加解密:

/**
 * 加密方法
 * @param data 待加密数据
 * @returns {string|*}
 */
encrypt (data) {
  let key = CryptoJS.enc.Utf8.parse(Consts.Secret.key)
  if (typeof data === 'object') {
    data = JSON.stringify(data)
  }
  let plAInText = CryptoJS.enc.Utf8.parse(data)
  let secretText = CryptoJS.AES.encrypt(plainText, key, {mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7}).ciphertext.toString()
  return secretText
},
/**
 * 解密数据
 * @param data 待解密数据
 */
decrypt (data) {
  let key = CryptoJS.enc.Utf8.parse(Consts.Secret.key)
  let secretText = CryptoJS.enc.Hex.parse(data)
  let encryptedBase64Str = CryptoJS.enc.Base64.stringify(secretText)
  let result = CryptoJS.AES.decrypt(encryptedBase64Str, key, {mode: CryptoJS.mode.ECB, padding: CryptoJS.pad.Pkcs7}).toString(CryptoJS.enc.Utf8)
  return JSON.parse(result)
}

配置:

let Consts = {
  Secret: {
    key: 'aaaabbbbccccdddd', // 必须16位(前后端要一致,密钥)
    urls: ['/users/save']
  }
}
export default Consts

这里的urls表示对那些请求进行拦截出来(加解密),这里也可以配置 "*" 表示对所有的请求出来。

axios请求前和响应后对数据进行加解密出来:

发送请求前:

axios.interceptors.request.use((config) => {
  let uri = config.url
  if (uri.includes('?')) {
    uri = uri.substring(0, uri.indexOf('?'))
  }
  if (window.cfg.enableSecret === '1' && config.data && (Consts.Secret.urls.indexOf('*') > -1 || Consts.Secret.urls.indexOf(uri) > -1)) {
    let data = config.data
    let secretText = Utils.Secret.encrypt(data)
    config.data = secretText
  }
  return config
}, (error) => {
  let errorMessage = '请求失败'
  store.dispatch(types.G_SHOW_ALERT, {title: '请求失败', content: errorMessage, showDetail: false, detailContent: String(error)})
  return Promise.reject(error)
})
axios.interceptors.response.use((response) => {
  let uri = response.config.url
  if (uri.includes('?')) {
    uri = uri.substring(0, uri.indexOf('?'))
  }
  if (window.cfg.enableSecret === '1' && response.data && (Consts.Secret.urls.indexOf('*') > -1 || Consts.Secret.urls.indexOf(uri) > -1)) {
    let data = Utils.Secret.decrypt(response.data)
    if (data) {
      response.data = data
    }
  }
  return response
}, (error) => {
  console.error(`test interceptors.response is in, ${error}`)
  return Promise.reject(error)
})

这里的 window.cfg.enableSecret 配置是我自己项目中有个配置文件配置是否开启,这个大家可以根据自己的环境来实现。

测试:

图片图片

这里可以看到前端发起的请求内容已经被加密了

响应内容:

图片图片

 

完毕!!!



Tags:API   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
中国三大运营商共同发布通过GSMA Open Gateway认证的一次性密码 API
3月26日,北京:中国三大领先的移动运营商&mdash;&mdash;中国移动、中国电信和中国联通今日发布商用OTP API(一次性密码API)服务,并通过了GSMA Open Gateway认证。此次发布标志着中...【详细内容】
2024-03-26  Search: API  点击:(18)  评论:(0)  加入收藏
如何免费访问和使用Gemini API?
Gemini是谷歌开发的一个新模型。有了Gemini可以为查询提供图像、音频和文本,获得几乎完美的答案。 我们在本教程中将学习Gemini API以及如何在机器上设置它。我们还将探究各...【详细内容】
2024-02-19  Search: API  点击:(59)  评论:(0)  加入收藏
构建 Web API 的两种流行选择:REST vs GraphQL
在 RESTful 和 GraphQL API 之间的选择取决于您的具体用例。RESTful API 适用于需要高可伸缩性的简单应用程序,而 GraphQL 则适用于具有不同数据需求的复杂应用程序。简介RES...【详细内容】
2024-01-09  Search: API  点击:(63)  评论:(0)  加入收藏
FastAPI:高性能Web框架的简介与应用
正文:在当今互联网时代,构建高性能的WebAPI是许多开发人员的关注重点。而FastAPI作为一个现代、快速的Web框架,为基于标准Python类型提示的API构建提供了强大的支持。FastAPI的...【详细内容】
2023-12-27  Search: API  点击:(101)  评论:(0)  加入收藏
理解 Spark 写入 API 的数据处理能力
这张图解释了 Apache Spark DataFrame 写入 API 的流程。它始于对写入数据的 API 调用,支持的格式包括 CSV、JSON 或 Parquet。流程根据选择的保存模式(追加、覆盖、忽略或报...【详细内容】
2023-12-13  Search: API  点击:(149)  评论:(0)  加入收藏
如何在Python中使用ChatGPT API处理实时数据
译者 | 李睿审校 | 重楼OpenAI公司推出的GPT如今已经成为全球最重要的人工智能工具,并精通基于其训练数据处理查询。但是,它不能回答未知话题的问题,例如: 2021年9月之后的近期...【详细内容】
2023-12-13  Search: API  点击:(227)  评论:(0)  加入收藏
伪原创API是什么?六个角度了解伪原创API
伪原创API,听起来可能对许多人来说是一个陌生的术语。然而,在当今数字化时代,尤其是在内容创作和网络营销领域,伪原创API正逐渐崭露头角。在本文中,我将向您深入介绍伪原创API是...【详细内容】
2023-12-11  Search: API  点击:(156)  评论:(0)  加入收藏
使用FastAPI部署YOLO模型的步骤
在计算机视觉领域,You Only Look Once (YOLO) 算法已经崭露头角,成为一种改变游戏规则的算法。它承诺具有卓越准确性的实时目标检测,使其成为从监视和自动驾驶车辆到图像和视频...【详细内容】
2023-12-06  Search: API  点击:(157)  评论:(0)  加入收藏
构建强大REST API的十个最佳实践
在项目开发中,我们经常会使用REST风格进行API的定义,这篇文章为大家提供10条在使用REST API时的最佳实践。希望能够为你带来灵感和帮助。1、使用具体且有意义的资源名称选择能...【详细内容】
2023-12-06  Search: API  点击:(149)  评论:(0)  加入收藏
前端请求到后端API的中间件流程解析
在前端请求到后端API的典型流程中,经过一系列中间件的处理,确保请求的顺利处理和安全性。以下是中间件的详细解析:1. 前端请求用户在前端发起请求,包括请求的URL、参数、以及其...【详细内容】
2023-12-06  Search: API  点击:(122)  评论:(0)  加入收藏
▌简易百科推荐
即将过时的 5 种软件开发技能!
作者 | Eran Yahav编译 | 言征出品 | 51CTO技术栈(微信号:blog51cto) 时至今日,AI编码工具已经进化到足够强大了吗?这未必好回答,但从2023 年 Stack Overflow 上的调查数据来看,44%...【详细内容】
2024-04-03    51CTO  Tags:软件开发   点击:(5)  评论:(0)  加入收藏
跳转链接代码怎么写?
在网页开发中,跳转链接是一项常见的功能。然而,对于非技术人员来说,编写跳转链接代码可能会显得有些困难。不用担心!我们可以借助外链平台来简化操作,即使没有编程经验,也能轻松实...【详细内容】
2024-03-27  蓝色天纪    Tags:跳转链接   点击:(12)  评论:(0)  加入收藏
中台亡了,问题到底出在哪里?
曾几何时,中台一度被当做“变革灵药”,嫁接在“前台作战单元”和“后台资源部门”之间,实现企业各业务线的“打通”和全域业务能力集成,提高开发和服务效率。但在中台如火如荼之...【详细内容】
2024-03-27  dbaplus社群    Tags:中台   点击:(8)  评论:(0)  加入收藏
员工写了个比删库更可怕的Bug!
想必大家都听说过删库跑路吧,我之前一直把它当一个段子来看。可万万没想到,就在昨天,我们公司的某位员工,竟然写了一个比删库更可怕的 Bug!给大家分享一下(不是公开处刑),希望朋友们...【详细内容】
2024-03-26  dbaplus社群    Tags:Bug   点击:(5)  评论:(0)  加入收藏
我们一起聊聊什么是正向代理和反向代理
从字面意思上看,代理就是代替处理的意思,一个对象有能力代替另一个对象处理某一件事。代理,这个词在我们的日常生活中也不陌生,比如在购物、旅游等场景中,我们经常会委托别人代替...【详细内容】
2024-03-26  萤火架构  微信公众号  Tags:正向代理   点击:(10)  评论:(0)  加入收藏
看一遍就理解:IO模型详解
前言大家好,我是程序员田螺。今天我们一起来学习IO模型。在本文开始前呢,先问问大家几个问题哈~什么是IO呢?什么是阻塞非阻塞IO?什么是同步异步IO?什么是IO多路复用?select/epoll...【详细内容】
2024-03-26  捡田螺的小男孩  微信公众号  Tags:IO模型   点击:(8)  评论:(0)  加入收藏
为什么都说 HashMap 是线程不安全的?
做Java开发的人,应该都用过 HashMap 这种集合。今天就和大家来聊聊,为什么 HashMap 是线程不安全的。1.HashMap 数据结构简单来说,HashMap 基于哈希表实现。它使用键的哈希码来...【详细内容】
2024-03-22  Java技术指北  微信公众号  Tags:HashMap   点击:(11)  评论:(0)  加入收藏
如何从头开始编写LoRA代码,这有一份教程
选自 lightning.ai作者:Sebastian Raschka机器之心编译编辑:陈萍作者表示:在各种有效的 LLM 微调方法中,LoRA 仍然是他的首选。LoRA(Low-Rank Adaptation)作为一种用于微调 LLM(大...【详细内容】
2024-03-21  机器之心Pro    Tags:LoRA   点击:(12)  评论:(0)  加入收藏
这样搭建日志中心,传统的ELK就扔了吧!
最近客户有个新需求,就是想查看网站的访问情况。由于网站没有做google的统计和百度的统计,所以访问情况,只能通过日志查看,通过脚本的形式给客户导出也不太实际,给客户写个简单的...【详细内容】
2024-03-20  dbaplus社群    Tags:日志   点击:(4)  评论:(0)  加入收藏
Kubernetes 究竟有没有 LTS?
从一个有趣的问题引出很多人都在关注的 Kubernetes LTS 的问题。有趣的问题2019 年,一个名为 apiserver LoopbackClient Server cert expired after 1 year[1] 的 issue 中提...【详细内容】
2024-03-15  云原生散修  微信公众号  Tags:Kubernetes   点击:(6)  评论:(0)  加入收藏
站内最新
站内热门
站内头条